How not to be seen
16.05.2011 14:10
In this picture there are forty people.
Genialny skecz z Latającego Cyrku Monty Pythona stał się dla mnie mottem do stworzenia tego wpisu. Proszę szanownych czytelników, postaram się szybko i sprawnie opisać moje własne metody, jak pomóc użytkownikom nie odrywając pośladków od własnego, wygodnego fotela.
Tysiące razy słyszałem teksty z parafii "bo mi nie działa", "bo mi się nie pokazuje", "bo mi się pokazuje", "bo mi to tak wyskoczyło". Gdybym chciał podnosić się za każdym razem, do osoby zgłaszającej takie problemy stawy kolanowe miałbym już zużyte w stopniu znacznym. Nawet jeśli ograniczyłbym się do kolegów i koleżanek pracujących w tym samym budynku. Na pomoc przychodzi nam więc praca zdalna.
None of them can be seen.
RDP, czyli protokół do graficznego zarządzania systemami windows znany jest zdaje się każdemu użytkownikowi windows. Szczerze mówiąc sam nie wyobrażam sobie pracy bez niego. Prosty, intuicyjny klient, wszystkie możliwości jakie sobie mogę wyobrazić... i tylko jeden problem. Samo rdp nie pozwala na przejęcie sesji użytkownika bez jego (intensywnej) pomocy. W związku z tym, często nie jest przydatny w ogóle. Ale wrócę do niego, na samym końcu.
TeamViewer jest wprost genialny. Aplikacja, której instalacja nie wymaga uprawnień administratora, nie wymaga dostępu bezpośredniego do komputera (w transmisji pośredniczą serwery TV, co może nie jest do końca bezpieczne) i trzeba podać tylko dwie informacje by móc przejąc komputer. Pozostaje tylko jedna kwestia, za darmo dostępna jest tylko wersja domowa, licencja która wyklucza korzystanie komercyjne. Ergo, w firmie bez znacznych kosztów - odpada.
UltraVNC jest moim faworytem. O ile nie jest to tak sprawny protokół jak RDP albo ten, z którego korzysta TV i często trzeba mocno przycinać jakość połączenia nawet w sieci lan, o tyle jego łatwość konfiguracji i instalacji na stanowiskach użytkowników jest nie do przecenienia. UltraVNC autentykuje użytkowników w dwojaki sposób. Albo przez hasło, które konfigurowane jest w samym programie, albo na podstawie grup użytkowników, którzy nawiązują połączenie. I to nie tylko grup lokalnych, ale także grup domenowych.
PSExec nie jest typowym programem do zarządzania komputerem, ale przy odrobinie fantazji można z nim zrobić cuda. Sam program jest elementem pakietu PSTools i pozwala po prostu uruchamiać zdalnie procesy w kontekście wskazanego użytkownika (bądź w kontekście własnego użytkownika). Jego składnia jest banalnie prosta.
psexec.exe \\host_lub_ip_komputera nazwa_procesu Na przykład: psexec.exe \\192.168.xxx.xxx cmd
W przypadku tego ostatniego przykładu zostanie uruchomiona po prostu konsola poleceń (jak to się poprawnie nazywa w naszym ojczystym języku?) w kontekście użytkownika, który uruchomił polecenie. Czyli taki runas na odległość. Oczywiście cały output zostanie przekazany do nas. Teraz wystarczy tylko uruchomić "coś". services.msc? Edycja hostów? tasklist/taskkill? Nie ma problemu.
Zdalne zarządzanie usługami, rejestrem itd. Sądzę, że mało użytkowników o tym wie, ale jest możliwość połączenia się z rejestrem przez regedit, z panelem do zarządzania usługami przez services.msc, wreszcie do zarządzania komputerem przez... ech... nie wiem jak się nazywa proces, ale wyklikać go można przez prawoklik na "Mój komputer" i Zarządzaj. Oczywiście w przypadku rejestru nie ma możliwości edycji gałęzi Current User, ale LocalMachine już jak najbardziej.
In this film we hope to show you how not to be seen
I co dzięki temu możemy? TeamViewer pomoże nam przy dostaniu się do sieci, do której nie mamy dedykowanego połączenia VPN, psexec pozwoli nam na instalacje zdalna oprogramowania (zachęcam do lektury manuala psexec), ultravnc dobrze sprawdza się w sieci z AD, RDP to ostateczność, ale czasem to jedyne wyjście, zarządzanie rejestrem, użytkownikami i serwisami jest banalnie proste.
W związku z tym płaszczymy nasz fragment ciała, w którym plecy tracą swoją szlachetną nazwę i kształt, na fotelu, odbieramy zgłoszenia i realizujemy.
Przy pisaniu tego bloga brałem pod uwagę sieć wyposażoną w AD. Potrafię sobie wyobrazić to wszystko w grupie roboczej, ale to by była jakaś tragedia logistyczna.
W następnym blogu "Leniwy jak administrator" o tym jak użyć vbs, wmi, php i mysql do inwentaryzacji sprzętów i oprogramowania, o batach na oprogramowanie oraz jeszcze trochę o psexec -c. Acha... tfl, przez małe L na końcu :)